모바일 / 보안

“안드로이드 앱 6만 개 이상에서 발견된 멀웨어··· 6개월 이상 정상 동작” 비트디펜더

Apurva Venkat | CSO 2023.06.09
전 세계 모바일 기기 다수에서 6개월 이상 탐지되지 않고 동작한 멀웨어 캠페인을 비트디펜더가 발견했다. 이 캠페인은 수익 창출을 목적으로 안드로이드 기기에 애드웨어를 배포하도록 설계됐다.

비트디펜더는 "(그러나 잠재적 위험성이 크다.) 캠페인 배후의 위협 행위자는 자격 증명 및 금융 정보를 훔치는 뱅킹 트로이 목마 또는 랜섬웨어와 같은 다른 유형의 멀웨어로 사용자를 리디렉션할 수 있다"라고 블로그를 통해 밝혔다.

비트디펜더에 따르면 현재까지 애드웨어에 감염된 안드로이드 앱은 6만 개에 이른다. 확인되지 않은 앱까지 감안하면 그 수치는 더욱 커질 수 있다. 이 멀웨어는 최소 2022년 10월부터 활동하기 시작했으며, 미국, 한국, 브라질, 독일, 영국, 프랑스의 사용자를 표적으로 삼고 있다.

비트디펜더는 "발견된 고유 샘플의 수가 많다. 작업이 완전히 자동화되었을 가능성이 시사한다”라고 전했다. 
 

멀웨어 배포

위협 행위자는 공식 스토어 외부에서 서드파티 앱을 사용하여 멀웨어를 배포하곤 한다. 비트디펜더는 “사용자가 서드파티 앱을 다운로드하고 설치하도록 유인해야 한다. 이를 위해 공식 스토어에서 찾을 수 없는 인기 있는 아이템으로 위장한다"라고 전했다.

경우에 따라서는 플레이 스토어에 게시된 실제 앱을 모방하기도 했다. 멀웨어가 위장한 앱 유형에는 게임 크랙, 잠금 해제 기능이 있는 게임, 무료 VPN, 가짜 튜토리얼, 광고가 없는 유튜브/틱톡, 크랙된 유틸리티 프로그램, PDF 뷰어, 심지어 가짜 보안 프로그램 등이 있었다. 
 

6개월 동안 탐지 회피

멀웨어가 포함된 앱은 설치 초기 정상적인 안드로이드 앱처럼 작동하며, 일단 설치되면 사용자에게 "열기"를 클릭하라는 메시지를 표시한다. 그러나 이러한 멀웨어는 추가 권한이 필요할 수 있으므로 자동으로 실행되도록 구성되지 않는다.

구글은 런처가 등록되면 안드로이드에서 앱 아이콘을 숨기는 기능을 제거한 바 있다. 그러나 런처가 등록된 경우에만 적용된다. "우회하기 위해 애플리케이션은 런처를 등록하지 않고 사용자와 기본 안드로이드 설치 동작을 통해 처음 실행된다"라고 비트디펜더는 밝혔다.

일단 설치되면 멀웨어는 "애플리케이션을 사용할 수 없습니다"라는 메시지를 표시하여 사용자가 멀웨어가 설치되지 않았다고 생각하도록 속인다.

비트디펜더는 "런처에 아이콘이 없고 레이블에 UTF-8 문자가 없기 때문에 발견하고 제거하기가 더 어렵다. 항상 목록의 맨 끝에 있기 때문에 사용자가 발견할 가능성이 적다"라고 설명했다. 

앱이 실행되면 공격자의 서버와 통신하여 모바일 브라우저에 표시하거나 전체 화면 웹뷰 광고로 표시할 광고 URL을 검색한다.
 

안드로이드 기기 노린 멀웨어 증가

안드로이드 디바이스는 점점 더 공격자들의 매력적인 표적이 되고 있다. 지난달 사이버 보안 업체 닥터웹은 스파이웨어 기능을 갖춘 안드로이드 소프트웨어 모듈인 스핀옥(SpinOk)을 발견했다.

이 멀웨어는 디바이스에 저장된 파일에 대한 정보를 수집하고 이를 악의적인 공격자에게 전송할 수 있다. 또한 클립보드 콘텐츠를 대체하여 원격 서버에 업로드할 수도 있다. 스파이웨어 기능이 포함된 스핀옥 모듈이 포함된 안드로이드 앱은 421만 이상 설치된 것으로 추정된다.

이번 주 초에는 광고 SDK로 배포된 스핀옥 안드로이드 멀웨어에 감염된 101개의 앱이 클라우드섹에 의해 포착됐다. 이 중 43개의 앱이 여전히 플레이 스토어에서 활동 중이었으며, 그 중에는 다운로드 횟수가 500만 회를 넘긴 앱도 있었다. 이들 앱의 영향을 받은 사용자는 총 3,000만 명으로 분석된다.
ciokr@idg.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.